Thursday 8 June 2017

BEWARE..!! यह माइक्रोसॉफ्ट पावरपॉइंट हैक मैक्रोज़ की आवश्यकता के बिना मैलवेयर स्थापित करता है

By lokesh 19:55 Leave a Comment
microsoft-powerpoint-macros-malware
Thnx To THN
मैक्रोज़ को अक्षम करें और जब आप मैन्युअल रूप से Microsoft Office Word दस्तावेज़ों को खोलते समय मैन्युअल रूप से इसे सक्षम करते हैं तो अतिरिक्त सावधान रहें। "

इंटरनेट पर उपर्युक्त सुरक्षा चेतावनी के बारे में कई बार सुना हो सकता है क्योंकि हैकर्स आमतौर पर स्पैम ईमेल से जुड़ी विशेष रूप से तैयार की गई माइक्रोसॉफ्ट ऑफिस फाइलों, खासकर वर्ड के माध्यम से कंप्यूटरों को हैक करने के लिए इस दशक पुरानी मैक्रो-आधारित हैकिंग तकनीक का लाभ उठाते हैं।

लेकिन जंगली में एक नया सामाजिक इंजीनियरिंग हमले की खोज की गई है, जिसे उपयोगकर्ताओं को मैक्रो सक्षम करने की आवश्यकता नहीं है; इसके बदले यह किसी PowerPoint फ़ाइल (पीपीटी) फ़ाइल के भीतर एम्बेडेड PowerShell कमांड का उपयोग कर किसी लक्षित सिस्टम पर मैलवेयर निष्पादित करता है।

 इसके अलावा, दस्तावेज़ के अंदर छिपे हुए दुर्भावनापूर्ण पावरशेल कोड जैसे ही पीड़ित को एक लिंक (जैसा दिखाया गया) पर एक माउस खींचता है / चालता है, जो समझौता मशीन पर एक अतिरिक्त पेलोड डाउनलोड करता है - यहां तक ​​कि उसे क्लिक किए बिना।

सुरक्षा फर्म SentinelOne के शोधकर्ताओं ने पाया है कि हैकर का एक समूह दुर्भावनापूर्ण PowerPoint फ़ाइलों का उपयोग 'ज़ुसी' को वितरित करने के लिए कर रहा है, जो बैंकिंग ट्रोजन है, जिसे 'टिनबा' (टिनी बैंकर) भी कहा जाता है।

2012 में खोजा गया, ज़ुसी एक बैंकिंग ट्रोजन है जो वित्तीय वेबसाइटों को लक्षित करता है और नेटवर्क ट्रैफिक को सताता है और मैन-इन-द-ब्राउज़र हमलों का प्रदर्शन करने के लिए कानूनी बैंकिंग साइट्स में अतिरिक्त रूपों को इंजेक्ट करने की क्षमता है, पीडि़तों को अधिक महत्वपूर्ण डेटा साझा करने के लिए कह रहा है क्रेडिट कार्ड नंबर, TANs, और प्रमाणीकरण टोकन के रूप में
"ज़ुसी 'नामक एक मैलवेयर का एक नया संस्करण' क्रयेशन ऑर्डर # 130527 'और' कन्फर्मेशन 'जैसे शीर्षक से स्पैम ईमेल से जुड़ी एक पावरपॉइंट फ़ाइल के रूप में जंगली फैलाने में पाया गया है। यह दिलचस्प है क्योंकि उपयोगकर्ता को मैक्रोज़ निष्पादित करने के लिए सक्षम करने की आवश्यकता नहीं है, "सेंटीइनऑन लैब्स के शोधकर्ता एक ब्लॉग पोस्ट में कहते हैं।
पावरपॉइंट फ़ाइलों को "खरीद ऑर्डर" और "पुष्टिकरण" जैसे विषयों के साथ स्पैम ईमेल के माध्यम से वितरित किया गया है, जो जब खोला गया था, तो हाइपरलिंक के रूप में "लोड हो रहा है ... कृपया प्रतीक्षा करें" पाठ प्रदर्शित करता है
microsoft-powerpoint-macros-malware

जब कोई उपयोगकर्ता लिंक पर माउस को पकड़ता है, तो वह स्वत: पावरशेल कोड को ट्रिगर करने का प्रयास करता है, लेकिन संरक्षित दृश्य सुरक्षा सुविधा जो Office 2013 और Office 2010 सहित Office के सबसे समर्थित संस्करणों में डिफ़ॉल्ट रूप से सक्षम होती है, एक गंभीर चेतावनी प्रदर्शित करती है और उन्हें संकेत देती है सामग्री को सक्षम या अक्षम करने के लिए

 यदि उपयोगकर्ता इस चेतावनी की उपेक्षा करता है और सामग्री को देखने की अनुमति देता है, तो दुर्भावनापूर्ण प्रोग्राम "cccn.nl" डोमेन नाम से कनेक्ट होगा, जहां से वह एक फ़ाइल डाउनलोड और निष्पादित करता है, जो अंततः एक नए प्रकार की डिलीवरी के लिए उत्तरदायी है बैंकिंग ट्रोजन को ज़्यूसी कहते हैं
"उपयोगकर्ता अभी भी किसी भी तरह के बाहरी कार्यक्रमों को सक्षम कर सकते हैं क्योंकि वे जल्दी में आलसी हैं, या वे केवल मैक्रोज़ को अवरुद्ध करने के लिए इस्तेमाल कर रहे हैं," सेंटीनेलऑन लैब्स कहते हैं। "साथ ही, मैक्रो के साथ की तुलना में बाहरी विन्यास निष्पादित करने में कुछ विन्यास संभवतः अधिक अनुमोदित हो सकते हैं।"
एक अन्य सुरक्षा शोधकर्ता, रूबेन डैनियल डॉज ने भी इस नए हमले का विश्लेषण किया और पुष्टि की कि यह नव खोजी गई हमले निष्पादन विधि के लिए मैक्रोज़, जावास्क्रिप्ट या वीबीए पर निर्भर नहीं है।
"यह हॉवर एक्शन के लिए एलीमेंट की परिभाषा के द्वारा पूरा किया गया है। यह हॉवर एक्शन एक बार वर्डप्रेस म्यूज को टेक्स्ट पर एक बार निष्पादित करने के लिए सेटअप है। स्लाइड 1 के संसाधन परिभाषा में 'rid2' को हाइपरलिंक के रूप में परिभाषित किया जाता है जहां लक्ष्य है एक पावरशेल कमांड, "डॉज ने कहा।
सुरक्षा फर्म ने यह भी कहा कि हमले काम नहीं करता यदि दुर्भावनापूर्ण फ़ाइल को PowerPoint व्यूअर में खोला गया है, जो कार्यक्रम को निष्पादित करने से इनकार करता है। लेकिन कुछ मामलों में तकनीक अभी भी कुशल हो सकती है।
If You Enjoyed This, Take 5 Seconds To Share It

0 comments:

Post a Comment